Saudações! Bem-vindo à sexta lição do curso . Em dominamos os fundamentos do trabalho com a tecnologia NAT em , e também liberou nosso usuário de teste na Internet. Agora é hora de cuidar da segurança do usuário em seus espaços abertos. Nesta lição, veremos os seguintes perfis de segurança: Filtragem da Web, Controle de Aplicativos e Inspeção HTTPS.
Para começar com perfis de segurança, precisamos entender mais uma coisa: modos de inspeção.
O padrão é o modo Baseado em Fluxo. Ele verifica os arquivos à medida que eles passam pelo FortiGate sem buffer. Assim que o pacote chega, ele é processado e encaminhado, sem esperar o recebimento de todo o arquivo ou página da web. Requer menos recursos e oferece melhor desempenho do que o modo Proxy, mas, ao mesmo tempo, nem todas as funcionalidades de segurança estão disponíveis nele. Por exemplo, o Data Leak Prevention (DLP) só pode ser usado no modo Proxy.
O modo proxy funciona de maneira diferente. Ele cria duas conexões TCP, uma entre o cliente e o FortiGate, a segunda entre o FortiGate e o servidor. Isso permite armazenar em buffer o tráfego, ou seja, receber um arquivo ou página da web completa. A verificação de arquivos em busca de várias ameaças começa somente depois que todo o arquivo foi armazenado em buffer. Isso permite que você use recursos adicionais que não estão disponíveis no modo baseado em fluxo. Como você pode ver, este modo parece ser o oposto do Flow Based - a segurança desempenha um papel importante aqui e o desempenho fica em segundo plano.
As pessoas costumam perguntar: qual modo é melhor? Mas não existe uma receita geral aqui. Tudo é sempre individual e depende das suas necessidades e objetivos. Posteriormente no curso tentarei mostrar as diferenças entre os perfis de segurança nos modos Flow e Proxy. Isso o ajudará a comparar a funcionalidade e decidir qual é a melhor para você.
Vamos passar diretamente para os perfis de segurança e primeiro dar uma olhada na Filtragem da Web. Ajuda a monitorar ou rastrear quais sites os usuários visitam. Penso que não há necessidade de nos aprofundarmos na explicação da necessidade de tal perfil nas realidades atuais. Vamos entender melhor como funciona.
Depois que uma conexão TCP é estabelecida, o usuário usa uma solicitação GET para solicitar o conteúdo de um site específico.
Se o servidor web responder positivamente, ele envia de volta informações sobre o site. É aqui que o filtro da web entra em ação. Ele verifica o conteúdo desta resposta.Durante a verificação, o FortiGate envia uma solicitação em tempo real à Rede de Distribuição FortiGuard (FDN) para determinar a categoria do site em questão. Após determinar a categoria de um determinado site, o filtro web, dependendo das configurações, executa uma ação específica.
Existem três ações disponíveis no modo Flow:
- Permitir - permitir acesso ao site
- Bloquear - bloquear o acesso ao site
- Monitorar - permitir acesso ao site e registrá-lo nos logs
No modo Proxy, mais duas ações são adicionadas:
- Aviso - avisa ao usuário que ele está tentando visitar um determinado recurso e dá ao usuário uma escolha - continuar ou sair do site
- Autenticar - Solicitar credenciais de usuário - permite que determinados grupos acessem categorias restritas de sites.
O site você pode visualizar todas as categorias e subcategorias do filtro da web e também descobrir a qual categoria um determinado site pertence. E no geral este é um site bastante útil para usuários das soluções Fortinet, aconselho que o conheçam melhor nas horas vagas.
Há muito pouco que pode ser dito sobre o Controle de Aplicativos. Como o nome sugere, permite controlar o funcionamento dos aplicativos. E ele faz isso usando padrões de vários aplicativos, as chamadas assinaturas. Usando essas assinaturas, ele pode identificar um aplicativo específico e aplicar uma ação específica a ele:
- Permitir - permitir
- Monitorar - permitir e registrar isso
- Bloquear - proibir
- Quarentena - registre um evento nos logs e bloqueie o endereço IP por um determinado tempo
Você também pode visualizar assinaturas existentes no site .
Agora vamos dar uma olhada no mecanismo de inspeção HTTPS. Segundo as estatísticas do final de 2018, a quota do tráfego HTTPS ultrapassava os 70%. Ou seja, sem utilizar a inspeção HTTPS, conseguiremos analisar apenas cerca de 30% do tráfego que passa pela rede. Primeiro, vamos ver como o HTTPS funciona de forma aproximada.
O cliente inicia uma solicitação TLS para o servidor web e recebe uma resposta TLS, e também vê um certificado digital que deve ser confiável para este usuário. Este é o mínimo que precisamos saber sobre como funciona o HTTPS; na verdade, a forma como funciona é muito mais complicada. Após um handshake TLS bem-sucedido, a transferência de dados criptografados começa. E isso é bom. Ninguém pode acessar os dados que você troca com o servidor web.
Porém, para os responsáveis pela segurança das empresas isso é uma verdadeira dor de cabeça, pois eles não conseguem ver esse tráfego e verificar seu conteúdo nem com um antivírus, nem com um sistema de prevenção de intrusões, nem com sistemas DLP, nem nada. Isso também afeta negativamente a qualidade da definição dos aplicativos e recursos da web utilizados na rede - exatamente o que se refere ao tema da nossa lição. A tecnologia de inspeção HTTPS foi projetada para resolver esse problema. Sua essência é muito simples - na verdade, um dispositivo que realiza inspeção HTTPS organiza um ataque Man In The Middle. É mais ou menos assim: o FortiGate intercepta a solicitação do usuário, organiza uma conexão HTTPS com ele e, em seguida, abre uma sessão HTTPS com o recurso que o usuário acessou. Neste caso, o certificado emitido pelo FortiGate ficará visível no computador do usuário. Deve ser confiável para que o navegador permita a conexão.
Na verdade, a inspeção HTTPS é algo bastante complicado e tem muitas limitações, mas não consideraremos isso neste curso. Acrescentarei apenas que implementar a inspeção HTTPS não é uma questão de minutos; geralmente leva cerca de um mês. É necessário coletar informações sobre as exceções necessárias, fazer as configurações apropriadas, coletar feedback dos usuários e ajustar as configurações.
A teoria dada, bem como a parte prática, são apresentadas nesta videoaula:
Na próxima lição veremos outros perfis de segurança: antivírus e sistema de prevenção de intrusões. Para não perder, acompanhe as atualizações nos seguintes canais:
Fonte: habr.com